この記事では、特定のIPS署名を持つトラフィックがIPS検査エンジンをバイパスできるようにするための許可リストルールの作成方法について説明します。
Catoの侵入防止システム(IPS)エンジンは、WANとインターネットトラフィックを検査して様々なネットワーク攻撃を検出し、異なる予防技術を使用してネットワークを保護します。 いくつかのIPS保護は、潜在的なネットワーク攻撃の種類を定義するトラフィック署名に基づいています。 トラフィックパターンがIPS署名に一致するたびに、IPSエンジンはトラフィックにIPSポリシーアクション(ブロック、モニタ、または許可)を適用します。
IPSブロックアクションの場合、IPS許可リストルールを使用して、IPSエンジンが一致するトラフィックを無視するように構成できます。 たとえば、イベント画面のIPSブロックイベントから直接IPS許可リストルールを作成することができます。
注意
注意: ドメイン名やFQDNを使用したIPS許可リストルールは、すべてのIPS保護およびシグネチャに適用されません。 その代わりに、すべてのIPS保護を許可リストに追加するために、ルールにIP範囲を使用してください。
ネットワークトラフィックの特定のスコープに従って、IPSエンジンのためにトラフィックを許可リストに含めるルールを作成できます。 ソース (From) からデスティネーション (To) へのトラフィックは、次の種類のネットワークトラフィックの1つに基づいてのみ許可リストに登録されます:
-
WAN - Cato Cloudを介したサイトとホスト間のWANトラフィック
-
インバウンド - インターネットから内部顧客ネットワークへのトラフィック
-
アウトバウンド - 内部顧客ネットワークからインターネットへのトラフィック
-
すべて - 任意のネットワークトラフィック
次のテーブルは、IPS許可リストルールの設定を定義するために使用できるアイテムを説明しています:
|
アイテム |
説明 |
|---|---|
|
名前 |
IPS許可リストルールの名前。 |
|
スコープ |
IPS許可リストが適用されるトラフィックの保護スコープ。 ルールのスコープは編集できません。 |
|
ソース |
このルールのトラフィックのソース。 |
|
デスティネーション |
このルールのトラフィックのデスティネーション。 |
|
プロトコル/ポート |
指定されたプロトコルとポートに一致するトラフィックにのみ適用されます。 各ルールに対して単一のポートまたはポートの範囲を定義できます。 複数のポートを定義するには、別々のルールを使用してください。例えば、TCPポート80用のルールとTCPポート200用の2番目のルールです。 |
|
シグネチャーID |
許可されたリストに含まれるIPS署名と、この署名を持ちこのルールに一致するすべてのトラフィックは、IPSエンジンによって許可されます。 すべてのトラフィックを許可するようにIPSエンジンを設定するには、「Any」を入力できます。 |
|
トラッキング |
ルールが一致すると、イベントが生成され、電子メール通知アラートが指定されたリストに送信されます。 |
|
|
有効化する、無効化する、または削除するオプション |
次の表は、各IPS保護範囲の許可リストルールで送信元および宛先フィールドに構成できるエンティティを示しています:
|
ルールスコープ |
送信元のための利用可能なエンティティ |
宛先のための利用可能なエンティティ |
|---|---|---|
|
インバウンド |
国 IP 範囲 リモートASN サブネット すべて |
フローティングサブネット グループ ホスト インターフェイスサブネット IP ネットワークインターフェース サイト システムグループ ユーザー ユーザグループ SDPユーザー すべて |
|
WAN |
フローティングサブネット グループ ホスト インターフェイスサブネット IP ネットワークインターフェース サイト システムグループ ユーザー ユーザグループ SDPユーザー すべて |
フローティングサブネット グループ ホスト インターフェイスサブネット IP ネットワークインターフェース サイト システムグループ ユーザー ユーザグループ SDPユーザー すべて |
|
アウトバウンド |
フローティングサブネット グループ ホスト インターフェイスサブネット IP ネットワークインターフェース サイト システムグループ ユーザー ユーザグループ SDPユーザー すべて |
国 ドメイン FQDN IP 範囲 リモートASN すべて |
IPS許可リストのルールベースには、IPSエンジンのトラフィックを許可するすべてのルールが含まれます。 すべての一致したIPS許可リストルールがトラフィックに適用されます。この動作は、最初の一致したルールのみが適用される順序付けされたファイアウォールルールベースとは異なります。 これは、複数の許可リストルールに一致する接続がある場合、各一致したルールがイベントを生成することを意味します。
For example, a connection with a blocked IPS signature matches IPS allowlist rules 2 and 4. 接続はIPSエンジンによって許可リスト登録され、許可されます。 The connection generates two separate events, one for rule 2 and one for rule 4.
イベント探索を使用してトラフィックをブロックしているIPS署名を識別し、その後ブロックイベントからIPS許可リストルールを作成できます。 イベント内のシグネチャーIDをクリックして、新しいIPS許可リストルールの設定を構成するためのウィンドウを開くことができます。 The rule is then added to the IPS allowlist rulebase in the IPS policy (Security > IPS).
イベントからIPS許可リストルールを作成するには:
-
ホーム > イベントから、ブロックされたトラフィックのためのIPSイベントを表示します。 これはIPSイベントを表示するサンプル手順です:
-
プリセットを選択ドロップダウンメニューから、IPSを選択します。
-
IPS署名IDのイベントを見つけます。
-
イベントを展開します。
-
-
シグネチャーIDで、シグネチャーのリンクをクリックします。
新規許可リストパネルが開きます。 ルールの設定はイベントのデータに基づいています。
-
IPS許可リストルールの設定をレビューします。 スコープはイベントのトラフィックの方向と一致し、変更できません。
-
トラックセクションでは、このシグネチャが許可されたときにイベントとメール通知を生成することを選択できます。
-
保存をクリックしてください。 ルールはIPS許可リストルールベースに追加されます。
-
IPS許可リストルールベースを表示するには、ナビゲーションメニューからセキュリティ > IPSをクリックし、許可リストタブを選択します。
IPS ポリシー 画面の IPS 許可リスト セクションを使用して、IPS 許可リストルールを手動で作成、編集、削除します。
IPS許可リストルールベースはIPSポリシーページにあります。
IPS許可リストルールベースを表示するには:
-
ナビゲーションメニューから、セキュリティ > IPSをクリックします。
-
許可リストタブを選択します。 IPS許可リストルールベースが表示されます。
新しいルールをIPS許可リストルールベースに追加し、ルールの設定を定義できます。 ルールのスコープを編集することはできません。
IPSシグネチャーIDは、CatoがIPSエンジンに使用するカスタムシグネチャーです。 IPSイベントでのみシグネチャーIDを確認できます。
IPS地理的制限トラフィックの許可リスト化
IPS地理的制限ポリシーの許可リストルールを作成する必要がある場合、宛先フィールドにIP範囲を定義する必要があります。 ルールがドメインに基づいて定義されている場合、トラフィックはIPS検査エンジンをバイパスしません。 ドメインに基づいて地理的制限を適用する別の方法は、インターネットファイアウォールを使用することです。 詳細については、インターネットとWANファイアウォールポリシー–ベストプラクティスを参照してください。
手動でIPS許可リストルールを作成するには:
-
ナビゲーションメニューから、セキュリティ > IPSをクリックします。
-
新規 をクリックします。 新規許可リストパネルが開きます。
-
ルール名を入力します。
-
ルールのスコープを選択します。
-
ルールのシグネチャーIDを定義します。詳細はIPS許可リストルールのアイテムを参照してください。
Signature IDをいずれかに設定すると、IPSエンジンはすべての一致するトラフィックを許可します。
-
適用をクリックします。 IPS許可リストルールがルールベースに追加されました。
-
保存をクリックしてください。
0件のコメント
サインインしてコメントを残してください。